Facebook Inc. (“Facebook”) Şirketler topluluğu çatısı altında yer alan Whatsapp LLC (“Whatsapp”) , 4 Ocak 2021 tarihinde yaptığı duyuruda “Kullanım Koşulları ve Gizlilik İlkesi”nin 8 Şubat 2021 tarihinde güncelleneceğini kullanıcılarına bildirdi.
“Kullanım Koşulları ve Gizlilik İlkesi” uyarınca getirilen önemli değişiklik, değişikliğine onay verilmesi halinde kullanıcıların bazı verilerinin Facebook ve bağlı şirketlerle paylaşılabilecek olması, onay verilmemesi halinde ise güncelleme tarihinden sonra uygulamanın kullanıcı tarafından kullanılamayacak olmasıdır.
Whatsapp’ın güncelleme bildiriminin ardından kullanıcıların kişisel veri güvenliği hususunda soru işaretleri doğmuştur. Büyüyen tepkilerin ardından Whatsapp tarafından yayınlanan duyuruda, “Son güncellememize daha fazla zaman veriyoruz.” diyerek 8 Şubat’a kadar kullanıcılara tanımış olduğu süreyi 15 Mayıs’a ertelediğini duyurdu. Duyuruda, 15 Mayıs tarihine kadar Whatsapp’ın gizlilik politikalarını kullanıcılara aşamalı olarak aktarılacağı, önceki açıklamaların aksine 8 Şubat tarihinde değişikliğe onay vermeyen kullanıcıların hesaplarının silinmeyeceği belirtildi. Bu yazımız ile Whatsapp’ın söz konusu güncellemesine ilişkin değerlendirmelerimizi dikkatinize sunarız.
Whatsapp tarafından sunulan “Gizlilik İlkeleri” uyarınca, uygulama üzerinden yapılan görüşmeler sadece iletişim taraflarının okuyabildiği bir şifreleme sistemi olan “uçtan uca şifreleme” (end to end encryption) yöntemiyle korunmaktadır. Uçtan uca şifreleme ile gönderenin Whatsapp aracılığıyla iletmiş olduğu fotoğraf, ses kaydı, video, mesaj gibi içerikler yalnızca gönderici ve alıcı tarafından görülebilmekte olup, iletişimin tarafları haricinde üçüncü bu içerikleri okuyabilmesi için şifre anahtarı olarak adlandırılan koda sahip olmaları gerekmektedir. Özetle, bu yöntemle gönderenin ilettiği mesaj içeriği şifrelenerek alıcıya ulaşıncaya kadar Whatsapp dâhil olmak üzere gönderici ve alıcı haricinde herhangi üçüncü kişi veya kurum tarafından prensip olarak okunamamaktadır. Ancak, Whatsapp üst verileri (meta-data) ve bünyesinde bulunan yedeklemeleri şifrelememektedir. Dolayısıyla, meta-datalar ve yedeklemeler Facebook ve diğer grup şirketleri ile paylaşılması tehlikesini doğurmaktadır. Bu verilerin paylaşılması ile kişilerin davranışsal hareketleri, günlük alışkanlıkları bu şirketler tarafından takip edilebilir hale gelebilecektir. (1)
Whatsapp’ın, hayatımızın her noktasına temas ederek, hem sosyal hem de iş iletişiminde yoğunlukla kullanılması dolayısıyla söz konusu güncelleme oldukça önemsenmiştir. Whatsapp tarafından toplanan bazı verilerin Facebook ile paylaşılacak olması hukuk sistemimiz açısından 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile mevzuatımıza giren “kişisel veri” kavramına dikkat çekmiştir.
KVKK’nın amacı, “[…] kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak tanımlanmıştır. Whatsapp tarafından yapılan güncellemeye istinaden KVKK ile öngörülen bazı esasları özetlemekte fayda vardır. KVKK’nın 5. maddesine göre; kişisel verilerin işlenebilmesi için ilgili kişinin açık rızasının bulunması gerektiği, 8. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağı ve 9. maddesinin 1. fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı düzenlemeleri yer almaktadır. KVKK’nın 3. maddesinde ise, açık rızanın tanımına yer verilmiştir. Açık rızanın varlığından bahsedebilmek için KVKK’da yer alan tanım kapsamında açık rızanın, belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması, özgür iradeyle açıklanması gerekmektedir.
Yukarıda da bahsettiğimiz üzere, açık rızanın unsurlarından biri “özgür iradeyle açıklanması”dır. Açık rızanın kişinin özgür iradesiyle açıklanması gerektiğinden ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir. Dolayısıyla, Whatsapp’ın gönderdiği sözleşmeyi kabul etmeyen kullanıcıların Whatsapp’ı kullanmaya devam edemeyeceği, hesaplarının silineceği tek taraflı olarak dikte edilmektedir. Bu durumda, açık rıza verilmesi sunulan ürün ve hizmetlerden yararlanmanın ön şartı olarak karşımıza çıkmaktadır. Kişisel Verileri Koruma Kurumu’na göre de bu şekilde alınan açık rıza; özgür irade ile açık rıza verilmesi ilkesine aykırılık oluşturacaktır. Nitekim Kişisel Verileri Koruma Kurumu 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile Whatsapp hakkında re’sen inceleme başlatmıştır.
Açık rızanın ürün ve hizmetlerden yararlanmanın ön şartı olarak karşımıza çıktığı önemli bir örnek de Almanya’nın Federal Kartel Ofisi’nin (Bundeskartellamt) Facebook’un veri toplama faaliyetleri ile ilgili kararıdır. Federal Kartel Ofisi’nin 6 Şubat 2019 tarihli kararı ile Facebook’un verileri toplama, kullanma, birleştirme faaliyetleri incelenmiş ve Federal Kartel Ofisi, Facebook’un pazar payı dikkate alındığında hâkim durumda olduğuna ve veri toplama faaliyetleri açısından hâkim durumu kötüye kullandığına kanaat getirmişti. Facebook kullanıcıların açık rızasına dayanmış olsa da kullanıcılar sunulan hizmetlerden veri paylaşma koşullarını kabul etmek şartıyla yararlanabildiğinden özgür irade ile verilmiş bir açık rızadan söz edilemeyeceği belirtilmiştir.
Öte yandan, “kişisel veri” kavramının hukuki niteliği konusunda çeşitli tartışmaların mevcut olduğunu ve kişisel veri kavramının hukuki niteliğinin belirlenmesi kişisel verilerin hangi çerçevede korunacağına ilişkin önem arz edeceğini hatırlatmak gerekir. Karşılaştırmalı hukuktaki yaklaşımlar çerçevesinde kişisel veriler, Kıta Avrupası hukuk sisteminde bir sosyal değer olarak görülmekle birlikte kişisel veriler insan hakkı, kişilik hakkı kapsamında ele alınmaktadır. Türk Hukukunda da Anayasa’nın 20. maddesinin 3. fıkrasında yer alan “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. […]” şeklindeki düzenlemeyle kişisel verilerin korunması temel bir hak olarak düzenlenmiştir. Amerikan hukuk sistemine bakıldığında kişisel veri kavramının ekonomik bir bakış açısıyla değerlendirildiği görülmektedir. Bu kapsamda, kişisel veriler, sahibinin kişiliğinin bir ürünü olarak benimsenmiş ve mülkiyet hakkı kapsamında değerlendirilmiştir.(2)
Türk hukukunda ise, KVKK’da kişisel verilerin “mülkiyet hakkı” kapsamında değerlendirilmesi yönünde açık bir ilke olmamakla beraber, kişisel veriler kişiye sıkı sıkıya bağlı haklar arasında yer almaktadır. Fakat mülkiyet hakkı çerçevesinde yorumlamak gerekirse, Whatsapp ile kişisel verilerin paylaşılması durumunda, Whatsapp’ın sözleşme koşulları çerçevesinde Whatsapp’a bu verileri “kullanma hakkı” verilmiş olup, Whatsapp’ın bu kişisel verileri bağlı bulunduğu şirketlerle paylaşıp bundan ekonomik bir menfaat elde etmesi durumunda ise, kullanma hakkının sınırının aşılmış olduğu, “semerelerinden yararlanma” hakkının gündeme geleceği değerlendirilebilecektir.
Whatsapp’ın, Söz Konusu Güncellemesinin Rekabet Hukuku Kuralları Çerçevesinde Değerlendirilmesi
Whatsapp’ın pazar payının büyüklüğünün, tartışmasız bir şekilde hâkim statüde olduğunun da göz ardı edilmesi mümkün değildir. Yukarıda yer vermiş olduğumuz Federal Kartel Ofisi’nin kararı ışığında; bir Facebook şirketi olan Whatsapp, Türkiye’de en fazla kullanıcıya sahip mesajlaşma platformu olarak hâkim konumdadır. 4054 sayılı Rekabetin Korunması Hakkında Kanun’un (“RKHK”) “Hâkim Durumun Kötüye Kullanılması” başlıklı 6. maddesinde yer alan “Bir veya birden fazla teşebbüsün ülkenin bütününde ya da bir bölümünde bir mal veya hizmet piyasasındaki hâkim durumunu tek başına yahut başkaları ile yapacağı anlaşmalar ya da birlikte davranışlar ile kötüye kullanması hukuka aykırı ve yasaktır.” düzenlemesi ile hâkim durumun kötüye kullanılması yasaklanmıştır. Nitekim Rekabet Kurumu, 11 Ocak 2021 tarihinde Facebook ve Whatsapp hakkında RKHK’nın 6. maddesinin ihlal edilip edilmediğinin tespiti amacıyla resen soruşturma başlatmış ve Whatsapp verilerinin paylaşılması zorunluluğunu durdurmuştur.
_______________________________________________________________________________________________________________________________________________
(1) Doç Dr. Murat Volkan Dülger “WhatsApp Güvenlik Değişikliği Ne Anlama Geliyor? Verilerimiz Paylaşılacak Mı?” başlıklı yazı
(2) Sinan Sami Akkurt “Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış” başlıklı makale